从服务蚂蚁自身业务场景,到行业联合科研探索,自成立以来,蚂蚁安全实验室始终秉持着生态合作1+1>2的初心。在终端安全领域,蚂蚁安全实验室持续与各智能终端厂商链接合作,协力探索前沿安全科技,共筑守护用户的安全屏障。
11月9日,蚂蚁安全实验室受vivo之邀,参与vivo年度旗舰会议——2022 vivo开发者大会。会上,蚂蚁安全实验室获颁“2022vivo最佳安全技术伙伴”称号。
本次开发者大会下设安全隐私专场,分论坛内容围绕“网络安全生态共建”主题展开。基于与vivo反诈生态协同共建的终端安全能力,蚂蚁安全实验室高级技术专家辛知在会上分享了蚂蚁安全与vivo基于AntDTX终端中间件技术底座的联合技术探索,及在反电诈风险前置感知层面取得的初步协作应用成果。
以下是辛知VDC分享现场演讲全文的实录。
大家好,我是辛知,来自蚂蚁集团,负责蚂蚁终端安全相关技术的研发,今天跟大家分享的题目叫做“AntDTX与生态反诈共治“。
AntDTX是我所带领的团队开发的一个终端中间件技术。今天借这个场景跟大家做一个简单的介绍,另外也特别就AntDTX与vivo在反诈生态协同课题上的一些努力和成果做下分享。
首先分享一下,我个人看到的一些,安全行业的发展趋势以及业务风控领域所面临的新挑战。
第一个趋势是,关于数据与隐私的法律法规正不断丰富中。国内《个人信息保护法》、《网络安全法》,国际上GDPR等等对互联网应用在数据的授权、采集与使用上提出了更加明确的原则与要求,所有的互联网应用都需要在法律法规下重新审视或修正过去的一些不规范的行为,与过去相比较,更少的数据可以被采集和上传;
第二个趋势是,以web 3.0、元宇宙为代表的新行业趋势正在崛起。在这个过程中,越来越多地在强调用户对自己的关键数据、密钥的掌握,这些关键资产在新的技术模式下被越来越多地迁移到用户自己的设备上,并与区块链结合,形成新的范式;
第三个趋势,电信网络诈骗等复杂风险正逐步成为社会顽疾。从国家监管到普通个人,是我国从上到下都非常关心的一个问题,电诈问题链路长,形式多种多样,很难通过一个单一环节的发力来形成压制,需要行业上下游一起协同解决,特别是电诈发生的第一现场很多都在终端设备上,迫切需要终端,通过提供相应的安全服务,来感知和帮助后续的支付类软件形成联防联控,共同治理电诈。
总结来看,以上这三个趋势都有一个共同的指向,即更少的数据离开端;更多的资产、数据与密钥来到端;以及更复杂的风险在端上发生。这三大趋势的叠加,无疑加重了终端的计算量,且对终端的安全与可信提出了更高的要求。
为了解决这些问题,过去行业上下游都不断做出过各种尝试和努力,比如终端厂商开发或具备了不少强大的基础安全能力,例如,TEE环境、root检测、证书链等等,但却也苦恼于怎么让互联网应用更顺畅地使用起来,来解决一些共同面对的风险。像电诈、赌博、洗钱等等风险问题往往比较复杂,单靠一种基础安全能力很难独立解决,会出现像图中所示这种“对不上”的状态。
而支付宝这样的支付类应用,过去长期在一线与黑灰产做各种斗争与对抗,对黑产作案的手法进行长期动态的跟踪与经验沉淀。但在新的形式下,过去技术方向潜力的挖掘也在逐步显露瓶颈,也需要进一步利用和挖掘底层基础的安全能力才足以迎接未来的挑战。
为此,我们研发出AntDTX中间件,其全称为“Device Trusted Extension“,取义从设备提供的基础可信能力中向上扩展,来弥合基础系统安全能力与业务安全需求之间的空缺。这个中间件所涉及的接口、标准等,蚂蚁将与vivo在内的所有行业伙伴一同共建共享,也期待未来能通过开源等形式向行业进行开放。
AntDTX作为中间件,既兼顾蚂蚁自有业务下的智能POS机、区块链盒子一类的硬件智能设备,也要兼顾像手机这种由行业伙伴提供的移动设备。它的主要使命是弥合基础安全可信能力与互联网业务风险之间的缺口。同时,它必须是一个开放的系统。
为此,我们已经与行业合作伙伴在工信部、泰尔实验室、IEEE等多个场合发起了行业标准的制定与讨论,包括已经发布的TAF标准《智能终端侧业务风险防控安全指南》,以及特别针对反诈的在工信部反诈专班正在制定中的《基于端侧风控服务和App联动的涉诈风险防范实施指南》,还有国际标准《Standard for Device Trusted Extension Software Architecture》。
在此基础上,我们将AntDTX分为了三个比较重要的部分,包括专注于解决业务风控问题的AntDTX.Risk,解决关键资产守护的AntDTX.Guard,以及提供跨平台、易开发的开发工具与基础服务抽象的AntDTX.Stack。
基于这套架构构建,AntDTX既能够解决像在智能POS机中的密钥与设备管理的合规问题,又能与手机合作伙伴一起在电诈等业务风控领域实现联合的治理,实现终端安全业务的统一。
回顾过去的几年,蚂蚁始终致力于终端生态的开放合作,也联合生态成立了IIFAA联盟,目前拥有超过300家成员单位,覆盖了多元商业场景下领先的应用厂商、移动终端厂商、IoT厂商、芯片厂商、安全解决方案厂商、人工智能厂商、国家检测机构等“全产业链角色”。
未来,AntDTX也将继续践行生态共建的路径,让这个本就来自生态的技术产品最终服务更多伙伴和用户。下面将重点就AntDTX在业务风控中,与vivo千镜可信引擎一同为解决电诈难题共同作出的努力做一些分享。
首先,让我们一起回顾一下电信网络诈骗所造成的危害,以及它的一种主要形式——电诈赌博类APP的整体现状,以及典型行为模式。
电信网络诈骗是我国公安机关全力打击的一种犯罪行为,危害的范围以及对人民群众造成的财产损失都非常惊人,根据人民公安报刊登的“全国公安机关打击治理电信网络诈骗犯罪综述”,仅2021年全年公安机会就破获了44.1万余起的案件,抓获相关嫌疑人达到69万之巨,追回的涉及“两卡”的被骗资金就有120亿。
我们观察到,所有的电诈案件中,有超过一半是由电诈类APP与网页所诱导的。我们可以还原一个典型的诈骗过程:
用户被黑产触达后,会被各种诱导,下载并安装电诈类应用,这些应用的功能可能是赌博、色情服务或者刷单等;用户在使用了一段时间之后,最终会被应用诱导到充值或者支付环节。当用户完成转账,钱就再也无法提现或转回来。这种电诈类应用因为长期在安全治理的高压下滋生运作,因而普遍具备对抗检测的反侦查手段,导致常规的检测手段都无法锁定这些黑灰应用,这为我们解决这类问题带来了更大的挑战。
通常一个正常的合规的APP在跳转调用支付类应用时,会向支付类应用直接告知自己是谁,它既不需要也不会隐藏自己的真实身份。
而电诈类应用则不同,因为支付类应用对已知的黑名单应用普遍会进行阻拦,所以它们会使用各种方法来伪装自己。这里分享三种常见的手段:
-
第一种是,修改scheme信息,因为scheme相当于APP间调用的“拜帖”,被用来自报家门,只要修改这个拜帖成一个大家通常认为无害的应用名,就可以在一定程度上有效地隐藏自己;
-
第二种是,拉起浏览器后的多次网页跳转,如果第一种还是支付类应用的直接调用,第二种就已经变成了间接调用,通过浏览器以及多个网页,期间数据流已经跨越多个进程与浏览器线程,支付类应用已经很难分辨这次调用的真实发起者是谁;
-
第三种,已经不是APP之间的调用,电诈者会通过自身或某些聊天类功能,向用户分享自己的收款码,诱导转账,因为信息在进程间的跨越以及调用的隐蔽性,检测也变得更加地困难。
以上模式总结,均来自于和黑灰产的一线对抗经验,而AntDTX.Risk就是要把对这些模式的分析沉淀成电诈类APP的行为特征与对应策略,而且要保持与时俱进,紧跟最新的对抗形式。
这次我们也是有幸与vivo的安全团队一同,通过将AntDTX.Risk的策略与能力嵌入到vivo的千镜可信引擎中,优势互补,共同来实现对电诈类应用的纯端检测与预警,服务好vivo以及蚂蚁的用户。
整个过程可以简单地理解为,当电诈类应用通过各种手段隐藏和伪装这些调用时,结合vivo千镜与AntDTX,我们可以及时在操作系统层面对于此类风险产生预警,并进一步在用户的手机中直接完成对风险的判断,最终只会向应用或者用户提醒“有风险”或“无风险”这样的风险判断结果。
所有原始数据的处理都在操作系统以及终端TEE环境的支持下完成,整个过程类似过去的杀毒软件,只是我们今天面对的“病毒”与风险已经不是过去木马蠕虫这些以破坏系统完整性为目标的恶意程序,而是狡猾的电诈类应用,它们的目标是用户的资金,给用户带来资产与精神损失也更严峻,需要我们行业上下游共同面对黑灰产的各种新的电诈方式,用新的终端底盘技术突破,重塑协同方式,实现共同治理,践行社会责任。
今年上半年4月,我们在vivo的X Fold发布会上一同发布了首批部署了联合方案的vivo机型,并且随着这几个月的覆盖与升级,截至今年的9月30日,联合方案已经覆盖vivo手机量超过400万台,日均识别潜在风险交易超过2100笔。
这些风险交易都是我们通过技术合作才能发现的新风险交易,在方案刚刚铺开数月的情况下,联合方案已经展现出风险前置感知的非常好的效果,整个生态合作未来还有很大的空间。
未来我们至少还可以从三个方面去不断地提升这种生态联防。
第一,最直接的就是,我们仍然有很大的空间去提升方案的设备覆盖量;
第二,我们可以研发更加智能的风控策略来提升感知的精度,降低误识别的概率;
第三,还可以进一步地增强我们对程序分析技术的投入,加深我们对电诈类APP的理解,了解这些APP的生产方式并挖掘更多的可疑特征,尝试在APP的安装环节就能将其定性,给予用户更精准的、更靠前的提醒,尽最大的努力在风险发生之前就阻断风险。
最后,很高兴能有机会与vivo一起携手合作,以这种技术联动、生态联动的形式,为反诈事业添砖加瓦。相信在有关部门以及行业共同的努力下,诈骗等安全顽疾问题一定会得到有效的遏制,用户的美好数字生活也将得到更好的守护。
